2 Personvernnemndas årsmelding 2013
2.1 Innledning
Personvernnemnda ble etablert med hjemmel i lov om behandling av personopplysninger (2000:31) og har vært i virksomhet siden 1. januar 2001. Året 2013 var dermed nemndas trettende driftsår.
Personvernnemnda er klageorgan for vedtak fattet av Datatilsynet etter personopplysningsloven, helseregisterloven (2001: 24) og helseforskningsloven (2008: 44).
Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger, jf personopplysningsloven § 1. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte loven og avveie de relevante personvernhensyn mot øvrige samfunnshensyn.
Personvernnemnda ser at dette ofte er en tverrjuridisk utfordring, idet personopplysningsloven interagerer med en rekke andre regelsett. Det foreligger ofte kryssende hensyn og motstridende interesser, noe som medfører krevende interesseavveininger. EUs personverndirektiv (95/46/EF) og Europarådskonvensjonen om personvern av 28. januar 1981 gjenspeiler noen «personvernprinsipper» som også er relevante ved fortolkningen av personopplysningsloven.
Personvernnemndas organisering og oppgaver følger av personopplysningsloven § 43. Personvernnemnda har adgang til å omgjøre Datatilsynets enkeltvedtak av eget tiltak (jf forvaltningsloven § 35), og kan prøve alle sider av en sak, jf Innst. O. nr. 51 (1999–2000) s. 24.
Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Kommunal- og moderniseringsdepartementet (KMD).
Personvernnemndas arbeid reguleres av personopplysningsloven, forskrifter til denne samt en instruks som departementet har utarbeidet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse som for forvaltningen for øvrig.
Selv om departementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.
Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene og sakene er tilgjengelig for publikum på Personvernnemndas hjemmesider. Personvernnemnda opplever stor interesse fra media om utfallet i mange saker.
2.2 Sammendrag og tendenser
I løpet av året er det innkommet 28 klager. Totalt 14 av de 28 sakene var ferdigbehandlet ved utgangen av 2013. Datatilsynets vedtak er omgjort i fire av de 14 sakene. I seks av sakene, de såkalte GE-sakene, ble vedtak avsagt med dissens.
Saksmengden har vært stor sammenlignet med tidligere år. Flere av sakene har vært prinsipielle. Personvernnemnda kan bare ta stilling til spørsmål i de foreliggende konkrete saker, men ser at klagesakene viser at det på flere områder er behov for en sektorovergripende rettspolitisk debatt. Ett tema som blir stadig mer aktuelt, er overføring av personopplysninger til utlandet, rettsgrunnlag og konsekvenser av slike overføringer. Under gjennomgås noen av de mest sentrale sakene.
Mange av de sakene som har vært prinsipielle angår helsesektoren. De såkalte GE-sakene, se PVN-2013-05, 08, 09, 11 og 12, har på mange måter reist uventede faktiske og rettslige problemstillinger. Situasjonen var at en type maskin som flere sykehus benyttet til diagnose av pasienter, var tilknyttet nettet. Gjennom nettet kunne GE i USA, som drev service på maskinen, hente ut norske personopplysninger til USA. Det at maskiner er tilknyttet nettet på denne måten vil antakelig bli mer vanlig fremover. Utfordringen var at uthentingen av personopplysningene til pasientene som var hadde benyttet maskinen, ikke var avtalt. Det var altså ingen som var klar over at personopplysningene ble sendt til USA, det skjedde automatisk. Når GE selv oppdaget overføringene, ble de norske sykehusene orientert og spørsmålet oppsto om man skulle orientere pasientene om hva som var skjedd eller ikke. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Mange sykehus ønsket ikke å informere pasientene og klaget til Personvernnemnda. Saken reiste mange kompliserte rettslige spørsmål. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Rettslig sett var situasjonen at det ville foreligget en informasjonsplikt overfor pasientene dersom sykehuset hadde vært klar over at dataene ville bli overført til USA på forhånd og det ville være en lite balansert situasjon dersom en tilsvarende informasjonsplikt ikke forelå når overføringen skjedde i strid med avtale med sykehuset. Ett av hovedprinsippene innen personvern er retten til å kontrollere opplysninger om en selv, og når det ikke er mulig: å vite hvordan opplysninger om en selv blir behandlet. Nemnda antar at den teknologiske utvikling gjør at lignende situasjoner kan tenkes å oppstå på flere samfunnsområder fremover og at saken kan få betydning også for disse.
En prinsipiell sak var PVN-2013-14, Nyrebiopsisaken om samtykkekompetanse for foresatte/foreldre. Datatilsynet mente at foresatte kan samtykke på vegne av sine barn opp til 16 års alder, men at nye samtykker deretter måtte innhentes fra barnet selv dersom opplysningene fortsatt skulle lagres. Verken personopplysningsloven § 2 eller helseregisterloven § 2 angir noen tidsbegrensning for samtykke avgitt av verge, men baserer seg på at et samtykke er et rettsgrunnlag så lenge det opprettholdes. Lovens utgangspunkt for et gyldig avgitt samtykke er således at det ikke er tidsbegrenset, men gjelder så lenge det ikke blir trukket tilbake. Etter nemndas syn var samtykket derfor fortsatt et gyldig rettsgrunnlag så lenge opplysningene i registeret bare benyttes til det opprinnelige registerformålet. Nemnda fant ikke at det forelå rettslig grunnlag for å hevde at endring av barnets samtykkekompetanse utløser krav om nytt samtykke. Nemnda sammenlignet dette med umyndiggjøring og oppnevning av verge. Vergen må ikke samtykke på nytt i alle forhold hvor den umyndiggjorte har samtykket før umyndiggjøringsgrunnen inntrådte, men vergen kan trekke samtykker tilbake etter umyndiggjørelsen. En annen ting er at råderetten for tilbaketrekking av samtykket går over til barnet ved fylte 16 år.
En annen sak av betydning er den såkalte RMI-saken, PVN-2013-01. Saken gjaldt klage på Datatilsynets vedtak om pålegg mot Folkehelseinstituttet vedrørende sletting av personopplysninger. Kjernen i spørsmålet var om RMI hadde rettslig grunnlag for en del av de behandlingene de foretar. Nemnda var enig med Datatilsynet og opprettholdt påleggene om sletting i de tilfeller det ikke forelå rettsgrunnlag for behandlingene. Saken viser at det kan være komplisert, selv for offentlige etater, å ta stilling til om man foretar en behandling som databehandler eller som selvstendig behandlingsansvarlig. Det er viktig for tilliten til forvaltningen, at slike forhold behandles korrekt.
Et gjenkommende tema kan illustreres ved PVN-2013-04, HUNT-saken. Der var spørsmålet om et opprinnelig samtykke til å delta i en medisinsk undersøkelse også kan omfatte senere ønskede undersøkelser uten å spørre pasientene på nytt. Denne type spørsmål oppstår jevnlig og har en naturlig bakgrunn i at forskere ønsker å utnytte foreliggende materiale på måter man ikke fullt kunne overskue da opprinnelig samtykke ble innhentet. Samtidig anses det ofte tyngende å innhente nye samtykker og det er også umulig i enkelte tilfeller. Denne type saker må løses svært konkret. En tilsvarende sak var PVN-2013-14, Farmers Biobank. Personvernnemnda kom i sistnevnte sak til at det forelå samtykke til de nye typene analyser man ønsket å gjøre, med en viktig begrensning. Det var ikke bare ønskelig å forske videre på opplysningene i Norge, men man ønsket også å kunne overføre dem til en utenlandsk forskningsdatabase. Personvernnemnda presiserte at slik overføring må ha et selvstendig rettslig grunnlag og kunne ikke baseres på opprinnelige samtykker som overhodet ikke omfattet overføring til utlandet. Nemnda antar at tilsvarende situasjoner kan oppstå og at avgjørelsen om Farmers Biobank kan få betydning i senere saker.
I øvrig synes det som om personvern får stadig mer fokus i samfunnet og det er et stort press på Datatilsynets ressurser til å rådgi og å behandle henvendelser. I PVN-2013-18 hadde en beboer i et sameie montert et skilt med «videoovervåking» på fellesarealet. Det ble omstridt i sameiet om dette var lov eller ikke. Datatilsynet ble kontaktet og ga råd, men dro ikke på stedlig tilsyn. Personvernnemnda kom til at Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt etter forvaltningsloven § 11. Saken var blitt utredet på en tilfredsstillende måte og det var ikke grunnlag for å kritisere Datatilsynets saksbehandling. Det må antas at det vil komme flere saker om bruk av Datatilsynets ressurser, men disse må avgjøres på konkret grunnlag.
2.3 Medlemmer
Personvernnemnda har syv medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer oppnevnes av Kongen.
Personvernnemnda besto i 2013 av følgende personer:
Eva Ingrid Elisabeth Jarbekk, leder
Arve Føyen, nestleder
Ørnulf Rasmussen
Ann Rudinow Sætnan
Gisle Hannemyr
Marta Ebbing
Nina Melsom
Alle medlemmer har personlige vararepresentanter:
Olav Torvund (vara for leder)
Ingvild Hanssen-Bauer (vara for nestleder)
Michal Wiik Johansen
Audhild Gregoriusdotter Rotevatn
Torgeir Waterhouse
Anne Forus
Hans Marius Graasvold
2.4 Andre organisatoriske forhold
Sekretariatet til Personvernnemnda består av advokat Tonje Røste Gulliksen, som er ansatt som seniorrådgiver i KMD. Sekretæren leier et kontor i Sandefjord der hun bor, men reiser jevnlig til Oslo i forbindelse med nemndas arbeid og møter. Personvernnemnda avholder sine møter i Oslo.
Personvernnemnda har egen hjemmeside, www.personvernnemnda.no, hvor man finner informasjon om nemndas medlemmer og hvor alle vedtak er publisert i sin helhet. Hjemmesiden har lenke fra Datatilsynets hjemmeside, og lenker til personvernrelatert materiale tilgjengelig på Internettet. Personvernnemndas vedtak publiseres også i en egen database hos Lovdata hvor det er lenket til det øvrige materialet.
2.5 Møter og konferanser 2013
Personvernnemnda har i 2013 hatt i alt 12 møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold er blitt behandlet. I tillegg til nemndsmøter har det vært forberedende møter med sekretariatet og leder.
Personvernnemnda ytet økonomisk støtte til «Personvernkonferansen 2013», som ble arrangert av Senter for rettsinformatikk (SERI), Universitetet i Oslo, på Bristol den 6. desember 2013, med tema «Etterretning og overvåking ut av skyggen» med bakgrunn i Snowden-avsløringene. Konferansen tok for seg spørsmål om utenlandsk etterretning og personvern.
2.6 Saksbehandlingstid – restanser
En sak blir i gjennomsnitt ferdigbehandlet i løpet av fire-fem måneder. De mest komplekse sakene, blant annet PVN-2013-01 RMI og de seks GE-sakene, har nemnda imidlertid arbeidet med i en rekke nemndsmøter i 2013.
Personvernnemnda hadde 14 ubehandlede saker ved årets slutt.
2.7 Hvilke parter klager til nemnda
Personvernnemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer.
Av de 14 sakene nemnda avgjorde i 2013 var det seks klager fra privatpersoner, resten av sakene var klaget inn av ulike bedrifter og statlige organer (helseforetak).
2.8 Klagesaksbehandling – statistikk
Personvernnemnda mottok i 2013 totalt 28 klagesaker. Av disse var 14 ferdigbehandlet ved utgangen av året. Oversikt over vedtakene, samt vedtakene i sin helhet, er publisert på Personvernnemndas hjemmesider. I tillegg er vedtakene som nevnt publisert i egen database hos Lovdata.
Saksmengden har vært stor. Flere av sakene har vært prinsipielle, jf punkt 2 over om tendenser. Også i 2013 har omfangsrike saker medført arbeid for medlemmene ut over de tilmålte fire timers forberedelse til hvert møte. Nemnda avholdt et ekstra møte i juni for å ferdigstille saker før sommeren.
2.9 Fullstendig oversikt over saker som ble behandlet i 2013
Følgende saker ble ferdigbehandlet i 2013:
PVN-2013-01 RMI
Klage på Datatilsynets vedtak om pålegg mot Folkehelseinstituttet vedrørende sletting av personopplysninger fra oppdragsvirksomheten
RMI internkontroll og informasjonssikkerhet. Klage på Datatilsynets vedtak om pålegg mot Folkehelseinstituttet vedrørende sletting av personopplysninger fra oppdragsvirksomheten. Nemnda var enig med Datatilsynet og opprettholdt påleggene. Folkehelseinstituttet må ha databehandleravtaler og må bringe til opphør behandlinger av personopplysninger som går ut over hva instituttet har rettslig grunnlag for i straffeprosessloven.
PVN-2013-02 Tysnes kommune
Klage på Datatilsynets omgjøringsvedtak i sak vedrørende sletting av opplysninger i journalnotat
Klage på Datatilsynets omgjøringsvedtak i sak vedrørende sletting av opplysninger i journalnotat. Klagen ble tatt til følge. Opplysningene skal slettes etter personopplysningsloven § 28 første ledd.
PVN-2013-03 GullAdam
Klage på Datatilsynets varslede vedtak om at overvåking av den del av forretningens lokaler som kun var tilgjengelige for ansatte måtte opphøre
Klage på Datatilsynets vedtak om at overvåking av den del av forretningens lokaler som kun var tilgjengelige for ansatte måtte opphøre. Personvernnemnda vurderte om kameraovervåkningen var i samsvar med personopplysningsloven § 38 som krever «særskilt behov». Butikken er delt i tre soner, et kundeareal, et midtareal og et pauseareal. Det er kun de to førstnevnte arealene som er kameraovervåket. Formålet med overvåkningen er å hindre eller enklere oppklare innbrudd og ran, samt å overvåke verdiene i lokalet. Nemnda kom etter en helhetsvurdering til at den beskrevne overvåking var i samsvar med personopplysningsloven § 38 og la vekt på at det dreier det seg om mindre gjenstander av stor verdi, pauserommet blir ikke overvåket og de ansatte ble informert om kameraovervåkingen før ansettelsen.
PVN-2013-04 HUNT
Klage på Datatilsynets delvise avslag på konsesjonsforlengelse med krav at informert samtykke innhentes fra deltakerne i HUNT2
Klage på Datatilsynets delvise avslag på forlengelse av konsesjon. Datatilsynet ga forlengelse av konsesjonen under forutsetning av at informert samtykke innhentes fra deltakerne i HUNT 2. Personvernnemnda kom til at samtykket omfattet den ønskede kobling med Reseptregisteret.
PVN-2013-05 Diakonhjemmet sykehus
Klage på Datatilsynets pålegg om å informere de berørte identifiserte pasientene – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang
Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla Diakonhjemmet sykehus å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.
PVN-2013-06 Sletting av opplysninger hos barnevernstjenesten
Klage på Datatilsynets avslutning av sak vedrørende krav om sletting av personopplysninger
Klage på Datatilsynets avslutning av sak angående krav om sletting av personopplysninger. Nemnda var enig med tilsynet i at opplysningene ikke skal rettes etter personopplysningsloven § 27. Videre fremstår opplysningene som nødvendige for formålet og kan ikke slettes etter personopplysningsloven § 28, 1. ledd. Endelig kom nemnda til at vilkårene i personopplysningsloven § 28 tredje ledd ikke var oppfylt.
PVN-2013-08 Haraldsplass Diakonale Sykehus
Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang
Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.
PVN-2013-09 Helse Bergen
Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang
Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.
PVN-2013-10 Helse Stavanger
Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang
Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.
PVN-2013-11 Oslo universitetssykehus
Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang
Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.
PVN-2013-12 Curato Røntgen
Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang
Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.
PVN-2013-13 Anmodning om gjenåpning av OBOS-sak
Klage på Datatilsynets avvisningsvedtak vedrørende anmodning om gjenåpning av OBOS-sak
Nemnda konkluderte med at en lagmannsrettsdom av 11.2.2013 ga klageren en legitim interesse i å få bragt på det rene hvorvidt de aktuelle dokumenter foreligger hos OBOS eller hos Advokatkontoret i OBOS. Nemnda kom til at klagers sak ikke ble tilfredsstillende utredet av Datatilsynet. Saken sendes tilbake til Datatilsynet for ny behandling, jf forvaltningsloven § 35, jf § 41.
PVN-2013-16 Folkeregisteret
Klage på Datatilsynets vedtak om avslutning av sak vedrørende feilregistreringer hos Folkeregisteret
Klager pålagde Datatilsynets avslutning av saken. Klager opplevde at sønnens nasjonalitet ble uriktig registrert, at sønnen ikke fikk registrert bostedsadresse, samt manglende innsyn. Personvernnemnda kom til samme konklusjon som Datatilsynet. Personvernnemnda er enig med Datatilsynet i at problemstillingen reguleres av folkeregisterloven og folkeregisterforskriften. Folkeregisterloven er lex specialis. Klager ble veiledet og oppfordret til å klage sin sak til de rette myndigheter. Det har klager også gjort. Personvernnemnda finner at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt etter forvaltningsloven i denne saken.
PVN-2013-18 Kameraovervåking i sameie
Klage på Datatilsynets behandling av sak
En beboer i et sameie har montert et skilt med «videoovervåking» på fellesarealet. Beboerens advokat har opplyst at det kun er satt opp et skilt og at beboeren håper at dette skal være tilstrekkelig for å skremme eventuelle gjerningspersoner. Datatilsynet korresponderte med partene, men prioriterte ikke stedlig tilsyn av hensyn til Datatilsynets begrensede ressurser. Personvernnemnda kom til at Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt etter forvaltningsloven § 11. Saken var blitt utredet på en tilfredsstillende måte og det var ikke grunnlag for å kritisere Datatilsynets prioritering.
2.10 Regnskap og budsjett for 2013
Personvernnemnda hadde i 2013 en budsjettramme på kr 1 833 000, og fremkommer under kapittel 1500 Fornyings- og administrasjonsdepartementet i statsbudsjett for 2013.
Totalt forbruk: kr 1 676 981.
Personvernnemnda disponerte sin bevilgning til innkjøp av litteratur, tjenester, økonomisk støtte til konferanse, deltakelse på seminar, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat og leie av lokaler. Stor saksmengde som nødvendiggjør avholdelse av ekstra møter for å holde restanser nede, gjør at kostnadene øker.
2.11 Avslutning
Personvernnemnda er av den oppfatning at nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.
Oslo, 20. februar 2014
For Personvernnemnda
Eva I E Jarbekk
Leder